k8s v1.9.9 二进制部署高可用（2）创建 CA 证书和秘钥

为确保安全，kubernetes 系统各组件需要使用 x509 证书对通信进行加密和认证，CA (Certificate Authority) 是自签名的根证书，用来签名后续创建的其它证书。

本文档使用 CloudFlare 的 PKI 工具集 cfssl 创建所有证书，文章内所有命令在第一台master操作即可。

安装 cfssl 工具集

#创建工作目录
mkdir -p /root/work
cd /root/work
#安装 cfssl 工具集
wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssl-certinfo_linux-amd64
wget https://pkg.cfssl.org/R1.2/cfssljson_linux-amd64
chmod +x cfssl*
mv cfssl_linux-amd64 /usr/bin/cfssl
mv cfssljson_linux-amd64 /usr/bin/cfssljson
mv cfssl-certinfo_linux-amd64 /usr/bin/cfssl-certinfo
ls /usr/bin/cfssl*

创建根证书 (CA)

CA 证书是集群所有节点共享的，只需要创建一个 CA 证书，后续创建的所有证书都由它签名。

创建配置文件

CA 配置文件用于配置根证书的使用场景 (profile) 和具体参数 (usage，过期时间、服务端认证、客户端认证、加密等)，后续在签名其它证书时需要指定特定场景。

$cat > ca-config.json <<EOF
{
  "signing": {
    "default": {
      "expiry": "87600h"
    },
    "profiles": {
      "kubernetes": {
        "usages": [
            "signing",
            "key encipherment",
            "server auth",
            "client auth"
        ],
        "expiry": "87600h"
      }
    }
  }
}
EOF

-signing：表示该证书可用于签名其它证书，生成的 ca.pem 证书中 CA=TRUE；
-server auth：表示 client 可以用该该证书对 server 提供的证书进行验证；
-client auth：表示 server 可以用该该证书对 client 提供的证书进行验证；

创建证书签名请求文件

$cat > ca-csr.json <<EOF
{
  "CN": "kubernetes",
  "key": {
    "algo": "rsa",
    "size": 2048
  },
  "names": [
    {
      "C": "CN",
      "ST": "BeiJing",
      "L": "BeiJing",
      "O": "k8s",
      "OU": "4Paradigm"
    }
  ]
}
EOF

-CN：Common Name，kube-apiserver 从证书中提取该字段作为请求的用户名 (User Name)，浏览器使用该字段验证网站是否合法；
-O：Organization，kube-apiserver 从证书中提取该字段作为请求用户所属的组 (Group)；
-kube-apiserver 将提取的 User、Group 作为 RBAC 授权的用户标识；

生成 CA 证书和私钥

$cfssl gencert -initca ca-csr.json | cfssljson -bare ca
$ll 
total 20
-rw-r--r-- 1 root root  292 Feb 10 14:29 ca-config.json
-rw-r--r-- 1 root root 1005 Feb 10 14:29 ca.csr
-rw-r--r-- 1 root root  211 Feb 10 14:29 ca-csr.json
-rw------- 1 root root 1679 Feb 10 14:29 ca-key.pem
-rw-r--r-- 1 root root 1367 Feb 10 14:29 ca.pem

分发证书文件

将生成的 CA 证书、秘钥文件、配置文件拷贝到所有节点的 /etc/kubernetes/cert 目录下：

$mkdir -p /etc/kubernetes/cert #所有节点操作
$cp ca*.pem ca-config.json /etc/kubernetes/cert
scp ca*.pem ca-config.json root@10.0.0.11:/etc/kubernetes/cert
scp ca*.pem ca-config.json root@10.0.0.12:/etc/kubernetes/cert
scp ca*.pem ca-config.json root@10.0.0.13:/etc/kubernetes/cert
scp ca*.pem ca-config.json root@10.0.0.14:/etc/kubernetes/cert